นักวิจัยด้านความปลอดภัยทางไซเบอร์ของ Microsoft เปิดเผยว่าพวกเขาตรวจพบการเพิ่มขึ้นของการติดตั้งมัลแวร์ Kinsing (เปิดในแท็บใหม่) บนเซิร์ฟเวอร์ Linux
ตามรายงานของบริษัท (เปิดในแท็บใหม่) ผู้โจมตีใช้ประโยชน์จากจุดอ่อนใน Log4Shell และ Atlassian Confluence RCE ในอิมเมจคอนเทนเนอร์ที่เปิดเผยและกำหนดค่าผิดพลาดและคอนเทนเนอร์ PostgreSQL เพื่อติดตั้ง cryptominers บนปลายทางที่เปราะบาง
ทีมงาน Microsoft Protect for Cloud ระบุว่าแฮ็กเกอร์สแกนแอปเหล่านี้เพื่อหาช่องโหว่:
- หน่วย PHP
- รังสีแห่งชีวิต
- Oracle Web Logic
- WordPress
สำหรับข้อบกพร่องเอง พวกเขาพยายามใช้ประโยชน์จากข้อบกพร่อง CVE-XNUMX-XNUMX, CVE-XNUMX-XNUMX และ CVE-XNUMX-XNUMX - RCE ในโซลูชันของ Oracle
"เมื่อเร็วๆ นี้ เราพบแคมเปญ Kinsing ที่แพร่หลายซึ่งกำหนดเป้าหมายเซิร์ฟเวอร์ WebLogic เวอร์ชันที่เปราะบาง" Microsoft กล่าว "การโจมตีเริ่มต้นด้วยการสแกนที่อยู่ IP ที่หลากหลาย มองหาพอร์ตเปิดที่ตรงกับพอร์ตเริ่มต้นของ WebLogic (เจ็ดพันหนึ่งพอร์ต)"
อัพเดทรูปภาพ
เพื่อความปลอดภัย ผู้ดูแลระบบไอทีควรอัปเดตอิมเมจเป็นเวอร์ชันล่าสุดและรับอิมเมจจากที่เก็บข้อมูลที่เป็นทางการเท่านั้น
ผู้คุกคามชอบที่จะฝังตัวขุด cryptocurrency บนเซิร์ฟเวอร์ อุปกรณ์ปลายทางระยะไกลเหล่านี้มักมีประสิทธิภาพในการคำนวณ ทำให้แฮ็กเกอร์สามารถ "ขุด" สกุลเงินดิจิตอลจำนวนมากโดยไม่ต้องใช้ฮาร์ดแวร์ที่เหมาะสม นอกจากนี้ พวกเขายังขจัดค่าไฟฟ้าที่สูงซึ่งมักเกี่ยวข้องกับการขุด crypto
ในทางกลับกันผู้ที่ตกเป็นเหยื่อต้องสูญเสียเป็นจำนวนมาก เซิร์ฟเวอร์ของคุณไม่เพียงแต่จะไร้ประโยชน์เท่านั้น (เนื่องจากการเข้ารหัสลับค่อนข้างหนักในการคำนวณ) แต่ยังส่งผลให้ค่าไฟฟ้าสูงอีกด้วย โดยปกติแล้ว ปริมาณของสกุลเงินดิจิทัลที่ขุดได้และค่าไฟฟ้าที่ใช้ไปนั้นมากเกินไป ทำให้การทดสอบทั้งหมดเจ็บปวดมากยิ่งขึ้น
สำหรับทีม Microsoft Protect for Cloud ทั้งสองเทคนิคที่ค้นพบนั้นเป็น "ทั่วไป" ในการโจมตีคลัสเตอร์ Kubernetes ในโลกแห่งความเป็นจริง
“การเปิดเผยคลัสเตอร์บนอินเทอร์เน็ตโดยไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสมอาจทำให้คลัสเตอร์เสี่ยงต่อการถูกโจมตีจากแหล่งภายนอก นอกจากนี้ ผู้โจมตียังสามารถเข้าถึงคลัสเตอร์ได้โดยการใช้ประโยชน์จากช่องโหว่ที่รู้จักในอิมเมจ" ทีมงานระบุ
“จำเป็นอย่างยิ่งที่ทีมรักษาความปลอดภัยจะต้องตระหนักถึงคอนเทนเนอร์ที่ถูกเปิดเผยและรูปภาพที่เปราะบาง และพยายามบรรเทาอันตรายก่อนที่จะถูกแฮ็ก ดังที่เราได้เห็นในบล็อกนี้ การอัปเดตอิมเมจและการตั้งค่าที่ปลอดภัยเป็นประจำสามารถเป็นตัวเปลี่ยนเกมสำหรับบริษัท เนื่องจากบริษัทพยายามที่จะได้รับการปกป้องจากการละเมิดความปลอดภัยและความเสี่ยงที่อาจเกิดขึ้น
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)